手机 / 手环 / 手表 NFC 模拟卡刷电梯
事情还得从去年快交物业费的时候开始说起,想用手机 NFC 直接模拟小区门禁卡,但是模拟后只能刷开门禁,刷电梯没反应。
在查询相关资料之后,了解到需要用到读写卡的设备,便从闲鱼找向了并夕夕,多方对比之下买了款 50 左右的机子,支持 IC/ID 卡的读写,将卡模拟进手机/手环NFC/手表。
- 解好卡,准备一张UID/CUID空白中介卡
- 原卡放在读卡器上,读取卡号
- 把UID/CUID空白的中介卡放在读卡器上,写入卡号
- 手机门禁卡中,模板上述中介卡,手机操作直至模拟成功
- 打开手机NFC门禁,把模拟好的卡展示出来,放到读卡器上,写手机
按以上教程操作,手机 NFC 也成功的能刷电梯了!
门禁卡有效期延期
这是个意外收获,通过看数据明码得出延期方法,交物业费的时候没有带着卡,顺手改完后各项指标测试正常。
在操作软件解卡时,软件有解卡后的简要分析内容。
我们小区梯控用的老金博,各种区块全部都是明码,改起来更方便了
如上图所示,9 扇区 – 2 区块 (第三行) 6-8 字节即为到期日期,所示日期为 年 月 日 ,此处改为想要的日期后保存写卡即可完成卡的延期!
9 扇区
0区块:00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1区块:53 01 40 00 00 00 00 01 00 00 00 d0 01 01 21 00
2区块:20 11 11 00 00 23 12 31 09 04 00 00 00 00 7f 00
3区块:47 42 49 43 69 77 ff 07 80 00 47 42 49 43 69 77
以上为原始数据,2区块1-3字节为开始时间,6-8区块为到期时间,若要改到期时间仅改6-8区块即可,比如有效期要改到2030年5月13日,则仅需改变此三字节即可
------------------------
以下为延期后示例数据
9 扇区
0区块:00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1区块:53 01 40 00 00 00 00 01 00 00 00 d0 01 01 21 00
2区块:20 11 11 00 00 30 05 13 09 04 00 00 00 00 7f 00
3区块:47 42 49 43 69 77 ff 07 80 00 47 42 49 43 69 77
按此方法改完后重新写卡即可完成延期。
电梯刷通所有层、通小区
学习过程总是需要进阶的,延期搞定了自然要开始搞通层了!
9 扇区 – 1 区块 (第二行) 即为电梯相关数据,如上图所示
第 2 字节为 梯号 ,直接将 01 改为 00 即代表可刷此系统支持的全部电梯,即 通小区
第 3 字节为 功能位 ,主要用于区分业主卡 40、物业卡 30 ,将 40 改为 30 即可
第 4-10 字节为 楼层 ,全部改为 ff ff ff ff ff ff ff 即可刷通全部楼层,即 通层
第 11-12 字节为 用户码,也称为发卡序号,但也有的这两字节显示为业主姓氏转换为 GBK 编码 (去除特征而已,不校验无影响,可不改)
第 13-14 字节为 房间号 ,如 23 03 则为 23 层 03 户,此项一般改为 00 00 即可 (去除房号标识而已,不校验无影响,可不改)
第 15 字节为 电梯控制位 ,也有人称为 灯控位,一般改为 00 即可 (必须改 00,代表刷卡后需要手动按键;原 11 或 01 则表示刷卡自动点亮楼层)
以上文中的9区数据为例,改后的通卡数据为:
9 扇区
0区块:00000000000000000000000000000000
1区块:530030FFFFFFFFFFFFFF00D000000000
2区块:20111100002312310904000000007F00
3区块:474249436977FF078000474249436977多数情况下,卡中数据会包含多个电梯信息,比如我的 10 扇区也是电梯信息
10 扇区
0区块:02000000000100000000000000000000
1区块:CEE40000000000000000000000000000
2区块:00000000000000000000000000000000
3区块:474249436977FF0780004742494369770 区块中存储的依然为电梯数据,将 02(梯号) 改为 00 ,将楼层码中间的 01 改为 00
改完的数据如下:
10 扇区
0区块:00000000000000000000000000000000
1区块:CEE40000000000000000000000000000
2区块:00000000000000000000000000000000
3区块:474249436977FF078000474249436977部分 IC 卡中含有多个系统,比如我的卡中除了 金博梯控 外还有 立林门禁 的数据,但看有效期已被物业弃用,故不作分析。
复制卡
我们物业给重新发一张卡要收费 30,但我们这卡不是 CPU 卡,无滚动,校验码也不验证。所以拿上母卡先读数据再写到子卡中即可正常使用。
子卡建议使用 CUID 卡,我小区的 UID 卡写入数据后只能刷梯不能刷门禁。
最后注意事项
- 本文仅针对
老金博系统研究分析,其他系统我这边不具备测试方法,不同的系统校验码、扇区、加密方法等等不尽相同,必要的时候借助一些分析工具可事半功倍; - 复制 IC 卡尽量使用 CUID 卡,实操中 UID 卡虽便宜但部分情况下兼容不太好;
- 如果有买机子的需求,532 即可,淘拼系基本不超过 50,或者也可以去闲鱼二手捞一捞;
- 关于复制卡到手机上,苹果手机不支持,仅支持用卡贴的方式弯道实现;
- 最重要的,再次提醒,本文仅用于数据学习分析,请勿用于其他场景。
附:关于金博加密的分析
在某论坛学习的时候看到有人贴的金博加密需要延长,多方资料学习后得出,没有校验,然后使用异或算法就可以。
原卡数据
9 扇区
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
7A 29 19 D6 D6 D6 D6 D6 D6 D6 9A 56 29 29 29 29
09 39 19 29 29 0A 39 2B 3D 1F 29 29 29 29 56 29
47 42 49 43 E2 58 FF 07 80 00 47 42 49 43 E2 58
与29异或得出明码,如下:
9 扇区
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
53 00 19 30 FF FF FF FF FF FF B3 7F 00 00 00 00
20 10 30 00 00 23 10 02 14 36 00 00 00 00 7F 00
6E 6B 60 6A CB 71 D6 2E A9 29 6E 6B 60 6A CB 71
可以分析得出,此卡为通卡,有效期是23年10月02日(9区2块6-8字节)
那么比如要改到24年则仅需用24和29做异或得0D,原数据9区2块6字节直接改为0D即可
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
7A 29 19 D6 D6 D6 D6 D6 D6 D6 9A 56 29 29 29 29
09 39 19 29 29 0D 39 2B 3D 1F 29 29 29 29 56 29
47 42 49 43 E2 58 FF 07 80 00 47 42 49 43 E2 58
同理,如果需要99年12月31日,直接改为:B0 3B 18 即可。
暂无评论内容